В системах Hetzner обнаружен бэкдор

Известной хостинговой компанией Hetzner (Германия) был установлен факт взлома систем и зафиксировано размещение на серверах бэкдоров. Удачное осуществление взлома инфраструктуры стало возможным благодаря использованию бэкдора, который инженеры компании обнаружили во внутренней системе мониторинга, работающей под Nagios (разработчики последней утверждают, что компания Hetzner использует форк проекта с названием «Icinga»).

Одним из результатов взлома для атакующих могло стать получение доступа ко всем без исключения данным клиентов, которые были указаны в панели управления. К ним, в том числе, относится информация об осуществленных платежах и хэши паролей.

Одним из наиболее интересных моментов атаки является то, что процессы Apache и sshd могут быть поражены Rootkit исключительно в оперативной памяти. Отсутствие какой-либо модификации файлов, хранящихся на диске, автоматически приводит к невозможности обнаружения такого вредоносного ПО с помощью средств для поиска руткитов наподобие rkhunter или же методов сверки контрольных сумм. При этом выявление атаки становится еще более сложным ввиду «динамического» поражения процессов с последующей их работой без перезапуска. Представителями компании также было отмечено присутствие в рутките функций, позволяющих манипулировать ProFTPD.

Согласно уведомлению Hetzner, для хранения паролей клиентов использовались SHA256 и соль, что делает их подбор достаточно затрудненным. Однако, несмотря на это старые пароли рекомендуется сменить. Также в сообщении утверждается о минимальной угрозе для данных кредитных карт, поскольку сервера компании хранят не полный серийный номер, а лишь последние 3 цифры. Взаимодействие с платежной системой осуществляется с использованием случайных номеров, привязываемых к каждой карте.